英特爾內部系統爆4項資安漏洞 全球逾27萬員工個資全外洩

記者孫敬／編譯

英特爾（Intel）近日爆發一起重大資安漏洞事件，讓外部使用者能完整匯出全球員工資料庫，並存取機密的供應商資訊。動力管理公司伊頓（Eaton Works）的調查指出，至少有4個不同的英特爾內部網路應用程式存在嚴重安全漏洞，導致超過27萬名英特爾員工與勞工的個人資料外洩。

延伸閱讀：新型釣魚手法結合微軟「Dynamics」平台 輕鬆繞過資安防線

從名片網站到API，四條路徑通向員工資料庫

在這次伊頓查獲的4個應用程式漏洞中，包括繞過客戶端身份驗證、硬編碼憑證，以及缺乏伺服器端驗證等問題。這些漏洞始未經授權的使用者，得以完整下載英特爾的員工資料庫。

其中一個最嚴重的漏洞，發生在英特爾印度員工訂購名片的網站。研究人員發現，只需簡單修改網站的JavaScript程式碼，就能繞過公司Microsoft Azure的登入提示，一旦繞過登入，研究人員便能找到一個無需身份驗證的API，並發出有效的存取權杖（Access token）。這個權杖隨後可以用於查詢「員工」API，若將搜尋過濾器移除，系統會回傳一個將近1 GB的JSON檔案，內含英特爾全球員工的姓名、職位、主管、電話號碼與信箱地址。

硬寫密碼與拼錯字Token，資安疏失令人震驚

第二個資安漏洞名為「產品層級」（Product Hierarchy）的管理網站，其後端服務竟然硬寫了帳號密碼。儘管密碼有加密，但使用的AES金鑰卻是「1234567890123456」這種簡單到不行的組合，這提供了第二個存取相同員工資料庫的方法。

第三個則是「產品入職」（Product Onboarding）的網站中，研究人員也發現了大量硬寫的機密資訊，包含多組API金鑰，甚至還有GitHub的個人存取權杖。

第四個重大漏洞，發生在英特爾供應商環境健康與安全智慧財產權管理系統（SEIMS），這是一個用於管理與供應商智慧財產權的入口網站。研究人員透過修改檢查有效權杖的程式碼，成功繞過登入，甚至可透過操縱API回應來獲得管理員權限，進而查看機密的供應商數據，包括保密協議（NDA）的細節。令人震驚的是，該系統的後端API竟接受一個假冒的授權權杖，該權杖的拼寫竟然是「Not Autorized」（Authorization的錯誤拼寫）。

研究人員已於2024年10月14日向英特爾報告，雖然英特爾的漏洞懸賞計畫排除網站基礎設施，並要求將這類報告發送到官方回報專用信箱，不過研究人員證實，英特爾已在發現後的90天內，修復了所有回報的漏洞。

資料來源：Cyber Security News